image

Zerodaylek in Microsoft Office sinds januari aangevallen

zaterdag 8 april 2017, 08:08 door Redactie, 16 reacties
Laatst bijgewerkt: 08-04-2017, 14:53

Gebruikers van alle versies van Microsoft Office zijn gewaarschuwd voor een ernstig beveiligingslek in de kantoorsoftware dat sinds januari wordt aangevallen en waar nog geen update van Microsoft voor beschikbaar is. De nu ontdekte kwaadaardige Office-documenten gebruiken naast het Office-lek ook een Windows-lek dat nog niet is gepatcht. Mogelijk dat de aanvallers via dit lek hun rechten op het systeem verhogen.

Door het openen van een kwaadaardig Office-document kan een aanvaller volledige controle over het systeem krijgen. Alle versies van Office zijn kwetsbaar, waaronder Office 2016 op Windows 10. Dat laat beveiligingsbedrijf McAfee weten. Zodra het document wordt geopend zal de exploit een hta-bestand downloaden. Hiermee kan een aanvaller willekeurige code op het systeem uitvoeren. Als de exploit succesvol is wordt het kwaadaardige Word-bestand gesloten en verschijnt er een ander document om het slachtoffer niets te laten vermoeden.

De eerste aanvallen op het beveiligingslek dateren van januari dit jaar. Microsoft is ingelicht en werkt aan een beveiligingsupdate. Wanneer die zal verschijnen is nog onbekend. In de tussentijd krijg gebruikers het advies om geen Office-documenten van onbetrouwbare bronnen te openen en Office Protected View in te schakelen. De exploit zal dan namelijk niet werken.

Reacties (16)
08-04-2017, 08:38 door Anoniem
Nieuwe bestanden van externe bron ( ook internet) worden standaard in Protected View geopend. Weinig tot niets aan de hand dus.
08-04-2017, 09:07 door karma4
https://support.office.com/en-us/article/What-is-Protected-View-d6f09ac7-e6b9-4495-8e43-2bbcdbcb6653
Nah, dat bewerken inschakelen weiger ik standaard. Waarom iets gaan bewerken (en processen starten).
Voorwaarde is wel dat de herkomst/bron goed aangegeven wordt.
Zo'n attribuut (herkomst/bron) zou een standaard horen te zijn zoals datum/tijd. Het filesystem heeft de internettijd gemist.
08-04-2017, 10:20 door Anoniem
"Volledige controle over het systeem," Moet ik daar adminrechten lezen? Zonder adminrechten heb je namelijk geen volledige controle, lijkt me? Volgens het bronartikel van McAfee gaat het om Full Code Execution, maar het zegt daarbij niet dat het adminrechten heeft. Enkel dat het elke vorm van geheugenbescherming omzeilt, maar ik neem aan dat dit gaat om het uitvoeren van code te bewerkstelligen.
08-04-2017, 10:47 door [Account Verwijderd]
[Verwijderd]
08-04-2017, 12:24 door Briolet
Alle versies van Office zijn kwetsbaar, …

Volgens mij klopt dit niet. In de originele tekst staat dat er ook gebruik gemaakt wordt van een lek in Windows zelf. Daarom lijkt het me dat alleen de Windows versies van Office kwetsbaar zijn.
08-04-2017, 12:57 door Anoniem
Door Briolet:
Alle versies van Office zijn kwetsbaar, …

Volgens mij klopt dit niet. In de originele tekst staat dat er ook gebruik gemaakt wordt van een lek in Windows zelf. Daarom lijkt het me dat alleen de Windows versies van Office kwetsbaar zijn.

Als men het over lekken in programma's heeft heeft dat meestal betrekking op dat programma i.c.m. één of meerdere Windows versies.
08-04-2017, 13:23 door Ron625 - Bijgewerkt: 08-04-2017, 13:23
Door Briolet:Daarom lijkt het me dat alleen de Windows versies van Office kwetsbaar zijn.
Daarom lijkt het me, dat alleen de Windows versies van Microsoft Office kwetsbaar zijn.
Andere office pakketten, als OpenOffice, LibreOffice, StarOffice, enz. zijn hier vast ongevoelig voor...........
08-04-2017, 15:04 door karma4 - Bijgewerkt: 08-04-2017, 15:13
Door Rinjani: .....Het is standaard ingeschakeld...
Probeer het maar eens het bewerken is standaard uitgeschakeld in een full MS omgeving.
Er is een indeling gemaakt naar lokaal/machine intranet/lan internet/onbekend wat op een of andere manier als metadata gegeven doorgespeelt wordt. Ik mis het volledige concept in directory of wat dan ook dan aan het bestand gekoppeld wordt.

Door Ron625: Daarom lijkt het me, dat alleen de Windows versies van Microsoft Office kwetsbaar zijn.
Andere office pakketten, als OpenOffice, LibreOffice, StarOffice, enz. zijn hier vast ongevoelig voor...........
Nee dat concept ontbreekt in Linux-land net zoals het aanpakken van de informatie in CIA BIV classificatie waarna je de mtitigaties er tegenover zet. Aangezien Microsoft met een herkomst koppeling begonnen is wat ontbreekt in andere office tools is de meer logische conclusie dat MS-office het minst kwetsbaar is en bijvoorbeeld Libreoffice (met macros) kwetsbaar. Als je niet kan weten of het lokaal eigen of extern mogelijk gevaarlijk wat voor acties heb je dan nog?i https://help.libreoffice.org/Basic/Macro http://www.securityweek.com/hackers-can-exploit-libreoffice-flaw-rtf-files In ieder geval niet ongevoelig.
Een hta is iets met vbscript/jscript extensies een valt als een macro uitbreiding op html te zien.
08-04-2017, 15:17 door Ron625
Door karma4:Nee dat concept ontbreekt in Linux-land net zoals het aanpakken van de informatie in CIA BIV classificatie waarna je de mtitigaties er tegenover zet.
Waarom begin je nu weer te bashen ?
Het enige dat ik wilde opmerken, is dat Office een algemene naam is en dat je wel moet wijzen naar het bedoelde office pakket.
Dit, om misverstanden te voorkomen.
08-04-2017, 15:51 door Anoniem
Door karma4: Zo'n attribuut (herkomst/bron) zou een standaard horen te zijn zoals datum/tijd. Het filesystem heeft de internettijd gemist.
Het lijkt me niet in een filesystem thuis te horen. Office-documenten hebben namelijk geen eenduidige herkomst, er kunnen meerdere mensen aan gewerkt hebben op meerdere computers en als op één van die locaties iets vervelend is toegevoegd dan kan een enkelvoudige herkomst-indicatie nooit betrouwbaar aangeven of iets te vertrouwen is. En iets ingewikkelders hoort al snel niet meer in een filesystem thuis, dat raakt te verweven met de eigenschappen van specifieke applicaties.

Door karma4: Aangezien Microsoft met een herkomst koppeling begonnen is wat ontbreekt in andere office tools is de meer logische conclusie dat MS-office het minst kwetsbaar is en bijvoorbeeld Libreoffice (met macros) kwetsbaar.
Ik weet niet wat die herkomstkoppeling is, ik neem aan dat je meer bedoelt dan de metadata met dingen als een auteursnaam die LibreOffice gewoon ondersteunt.

Alle moderne officeformaten zijn ZIP-files met XML erin. XML is tekst die prima door versiebeheersoftware kan worden bestierd, compleet met een zeer fijnmazige vastlegging van wat precies door wie is gewijzigd en zelfs een goede afhandeling van parallelle bewerkingen door verschillende mensen in de vorm van historie die in verschillende takken splitst die later weer samenkomen.

Je kan zoiets in een office-formaat integreren, maar een documentbeheersysteem dat gespecialiseerd is in dat soort bewerkingen dat je meteen voor meer dan alleen office-documenten kan gebruiken zou wel eens een superieure oplossing kunnen zijn.

Nou ben ik niet thuis in documentbeheersystemen dus hoe goed ze zijn weet ik eigenlijk niet. Maar ik weet genoeg om te overzien dat alle benodigde technische bouwstenen voor dat soort dingen gewoon bestaan. Wie weet dat men bij LibreOffice vanuit de *nix-filosofie dat één programma één taak verricht wel vindt dat deze functionaliteit niet in office-documenten thuishoort maar in een systeem waarmee je ze beheert.

Als die herkomstindicatie die je bedoelt niet in LibreOffice zit en wel in MS Office hoeft dat dus geen symptoom van inferieuriteit van LibreOffice te zijn, het kan ook een symtoom zijn van een andere visie op hoe je functies over softwarecomponenten verdeelt.
08-04-2017, 16:35 door [Account Verwijderd]
[Verwijderd]
08-04-2017, 19:24 door Anoniem
Door karma4:
Door Rinjani: .....Het is standaard ingeschakeld...
Probeer het maar eens het bewerken is standaard uitgeschakeld in een full MS omgeving.
Er is een indeling gemaakt naar lokaal/machine intranet/lan internet/onbekend wat op een of andere manier als metadata gegeven doorgespeelt wordt. Ik mis het volledige concept in directory of wat dan ook dan aan het bestand gekoppeld wordt.

Door Ron625: Daarom lijkt het me, dat alleen de Windows versies van Microsoft Office kwetsbaar zijn.
Andere office pakketten, als OpenOffice, LibreOffice, StarOffice, enz. zijn hier vast ongevoelig voor...........
Nee dat concept ontbreekt in Linux-land net zoals het aanpakken van de informatie in CIA BIV classificatie waarna je de mtitigaties er tegenover zet. Aangezien Microsoft met een herkomst koppeling begonnen is wat ontbreekt in andere office tools is de meer logische conclusie dat MS-office het minst kwetsbaar is en bijvoorbeeld Libreoffice (met macros) kwetsbaar. Als je niet kan weten of het lokaal eigen of extern mogelijk gevaarlijk wat voor acties heb je dan nog?i https://help.libreoffice.org/Basic/Macro http://www.securityweek.com/hackers-can-exploit-libreoffice-flaw-rtf-files In ieder geval niet ongevoelig.
Een hta is iets met vbscript/jscript extensies een valt als een macro uitbreiding op html te zien.

Je CIA FBI BIV en andere iso27k data gouvernance en Microsoft voorkeur die niet aan de standaarden voldoen raken kant nog wal. Jouw concept klopt in je hoofd niet en andere tools doe conculderen helemaal mis natuurlijk. Linux BSD HPux hebben ewr niks mee te maken.
08-04-2017, 20:48 door karma4
Door Ron625: Dit, om misverstanden te voorkomen.
Het enige wat ik wilde zeggen is dat er algemene vernieuwing in fileaccess zou moeten komen zodat het generiek -security by design- opgepakt kan worden. Het is toch raar dat we bestanden nog steeds benaderen alsof het om stand-alone machines gaat zoals in de jaren 60.

Door Anoniem:
Het lijkt me niet in een filesystem thuis te horen. Office-documenten hebben namelijk geen eenduidige herkomst, er kunnen meerdere mensen aan gewerkt hebben op meerdere computers en als op één van die locaties iets vervelend is toegevoegd dan kan een enkelvoudige herkomst-indicatie nooit betrouwbaar aangeven of iets te vertrouwen is. En iets ingewikkelders hoort al snel niet meer in een filesystem thuis, dat raakt te verweven met de eigenschappen van specifieke applicaties.
Daar heb je gelijk in. Mijn idee is iets eenvoudigs als een zonering van herkomst is iets uitgebreider dan https://technet.microsoft.com/en-us/library/dd883248(v=ws.10).aspx de indeling in herkomst/bron. File access via unc names kan intranet of internet zone hebben.
Ms offices lijkt het op zijn eigen manier te doen https://support.office.com/nl-nl/article/Een-vertrouwde-locatie-voor-bestanden-maken-verwijderen-of-wijzigen-f5151879-25ea-4998-80a5-4208b3540a62 Voor office macros (specifiek op tool gericht) moet je het niet in het filesystem zetten.

Die met de herkomst/zonering denk ik wel goed in het filesystem. Als 0 alles open is en 8 alles dicht gezet. met een run-time dan kan je met een actieve eigen setting beweren niets te open horend bij een lager niveau. Als een onbekende bestand level 8 meekrijgt mag er niets actief worden. een bestand met level 0 setting laat alles actief worden.
Bij binnenkomst van een bestand onbekend herkomst standaard waarde 8.
09-04-2017, 13:38 door Anoniem
Door Ron625:
Door Briolet:Daarom lijkt het me dat alleen de Windows versies van Office kwetsbaar zijn.
Daarom lijkt het me, dat alleen de Windows versies van Microsoft Office kwetsbaar zijn.
Andere office pakketten, als OpenOffice, LibreOffice, StarOffice, enz. zijn hier vast ongevoelig voor...........

Heb je de titel ook goed gelezen van dit artikel?
Verdere specificaties zouden dan niet meer nodig moeten zijn.
09-04-2017, 15:16 door Anoniem
Door Ron625:
Door Briolet:Daarom lijkt het me dat alleen de Windows versies van Office kwetsbaar zijn.
Daarom lijkt het me, dat alleen de Windows versies van Microsoft Office kwetsbaar zijn.
Andere office pakketten, als OpenOffice, LibreOffice, StarOffice, enz. zijn hier vast ongevoelig voor...........

De vraag of de Mac versies van Microsoft Office ook kwetsbaar zijn is logisch - en niet beantwoord.
10-04-2017, 18:20 door Anoniem
Door Anoniem:
Door Ron625:
Door Briolet:Daarom lijkt het me dat alleen de Windows versies van Office kwetsbaar zijn.
Daarom lijkt het me, dat alleen de Windows versies van Microsoft Office kwetsbaar zijn.
Andere office pakketten, als OpenOffice, LibreOffice, StarOffice, enz. zijn hier vast ongevoelig voor...........

De vraag of de Mac versies van Microsoft Office ook kwetsbaar zijn is logisch - en niet beantwoord.

Nee die vraag is niet logisch en impliciet wel beantwoord.

Alle versies van Office zijn kwetsbaar, waaronder Office 2016 op Windows 10.
Nee en wel hierom

Zodra het document wordt geopend zal de exploit een hta-bestand downloaden. Hiermee kan een aanvaller willekeurige code op het systeem uitvoeren.
HTA formaat is voor Windows.
De uitvoer van de code lukt niet maar is wellicht wel leesbaar als inderdaad willekeurige code.

Alle versies van MS Office?
Nee ook niet want Office for Mac bestrijkt door de jaren heen verschillende OS versies die essentieel van elkaar verschillen.
Is het aannemelijk dat deze Windows code op zowel OS9 windows 2001 als OSX Office 2004 t/m heden werkt?
Nee, dat is buiten dat het windows code is niet waarschijnlijk, OS9 en OSX verschillen essentieel van elkaar en binnen OSX zijn er met een aantal stadia weer grote onderlinge verschillen te vinden.

Kletskous discussie om niks (wat betreft OSX dan).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.